正直、最初に「スマホ新法」って聞いたときは「またなんか難しいやつ来た…」って身構えました。自分はガチの法律屋でもプロのコンサルでもなく、アプリ運営をちょこちょこ触ってるだけの人間なんですが、課金まわりとかストアのルール変更って、結局いちばん現場がダメージ食らうじゃないですか。なので“対策”といっても偉そうなことは言えないんだけど、「自分がアプリを回してると仮定して、何から整える?」をメモ帳に書いていったら、案外やることが山盛りになりました。
まず気になったのが外部決済。いわゆるアプリ外課金ってやつ。夢としては「手数料が下がって、価格も自由度が増えて、ユーザーも得して最高」なんだけど、現実はたぶんそんな単純じゃなくて、導線・返金・問い合わせ・不正利用の全部が“自分の責任”側に寄ってくる感じがします。ここで自分が真っ先に連想したのが決済基盤で、例えば Stripe みたいな定番どころは、導入も情報も多くて安心感がある一方、運用の小ネタ(返金や不正、メール通知や明細の見せ方)を詰めないとすぐ事故りそう。国内寄りで考えるなら GMO%20Payment%20Gateway とか、ライトに始めたいなら fincode%20by%20GMO みたいな方向も頭をよぎります。決済代行の話になると ROBOT%20PAYMENT も名前を見かけるし、ユーザー側の“使い慣れ”で言うなら PayPay とか PayPal も候補になりそう。あと、何気に「ログインしてそのまま払える」枠で Amazon%20Pay を置くと、購入体験がスッとする気がする(これは完全に主観)。
ただ、外部決済を入れるときに自分が一番ビビるのは、不正利用とチャージバックです。ここは「頑張ります!」でどうにかなるもんじゃなくて、仕組みで殴るしかない。最低限、カード本人認証の EMV%203D%20Secure は前提として、それでも怪しい動きは出るので、デバイス指紋なら Fingerprint みたいなのを検討したり、不正検知の文脈で Sift や Forter や Riskified を眺めたり、という妄想が止まりませんでした。決済だけじゃなくアカウント乗っ取りも怖いので、認証の土台で Auth0 とか Okta みたいな“ちゃんとしたやつ”を入れたくなる(でも費用と工数で現実に殴られるやつ)。
で、外部決済をやるなら次に必ず出るのが「計測どうする問題」。アプリ内課金のときはストア側の仕組みに乗っかって割と綺麗に見えたりするんですが、Web決済に逃がすと、広告→アプリ→Web→決済→アプリ復帰、みたいな旅が始まって、そこでユーザーが迷子になった瞬間に数字が溶けます。ここはMMPが真っ先に浮かんで、AppsFlyer とか Adjust とか、ディープリンク寄りなら Branch とか、統合マーケ寄りで Singular とか、名前はよく聞く。正直どれが正解ってより、「自分のチームが運用できるか」が全てな気がします。自分みたいな“趣味で触る民”は、結局 Firebase とかでざっくり見たくなるし、Web側は Google%20Analytics%204 を入れとくか…って気持ちになる。プロダクトの行動分析まで踏み込むなら Amplitude とか Mixpanel が強そうだけど、これも「使いこなせる人がいるか」で天と地が変わるやつ。
さらに、外部決済や計測が動くと、同意管理(コンセント)の話が避けられません。ここ、個人的に一番“めんどいけど後回しにすると爆発する”領域だと思ってます。自分はいつも「あとで整えよう」って先送りしがちなんですが、やっぱり OneTrust とか Cookiebot とか Sourcepoint みたいなCMPを早めに触って、「同意の文言」「同意のログ」「同意の撤回」「地域ごとの差分」をちゃんと回せるようにしておくのが現実的な“スマホ新法対策”なんじゃないかな、と感じました。法律がどうこう以前に、ユーザーから見て「何に同意したの?」が分かりにくいサービスって、結局いつか詰むので…。
あと、地味に効いてくるのが「変更が増える」こと。ストアやOSやブラウザの仕様が変わるたびに、現場はバタバタする。ここで個人的に救いになるのがリモート設定と段階リリースで、LaunchDarkly みたいなFeature Flag系を入れておくと、「問題が出たらOFF」にできる安心感がある。もちろん、そこまで行かなくても運用の発想は同じで、サーバー側で切り替えられる設計にしておくのは大事。インフラの選択肢としては AWS とか Microsoft%20Azure とか Google%20Cloud とか、どれでもいいけど「いざという時に戻せる」仕組みが欲しい。エッジやWAFの話なら Cloudflare とかも連想するし、配信最適化で Fastly や Akamai も頭をよぎる(このへんは完全に“なんか強そう”で挙げてるだけだけど)。
そして、変更が増える=障害も増える、なので監視・ログの体制も対策の一部。個人的には、アプリやWebが絡むと原因が見えにくいので、Datadog みたいにまとめて見たい欲が出るし、エラーの流れは Sentry が刺さりそうだし、昔からの定番感で New%20Relic も候補になる。障害対応の呼び出しで PagerDuty まで行くと“ちゃんとしてる感”がすごいけど、個人開発レベルだと胃が痛くなる気配もある。
それから、外部決済や代替配布(将来的にでも)を考えると、サポートの窓口が大事になります。ユーザーは「どこで買ったか」なんて覚えてないことが多いので、「それはストア決済?Web決済?」の切り分けを現場がやる羽目になる。ここで Zendesk とか Intercom みたいなCS基盤があると、履歴と自動化で少しは救われそう。自分はサポート対応が苦手なので、テンプレ・マクロ・タグ運用で殴れる環境が欲しいです(切実)。マーケ側も、ユーザーへの案内が増えるならメールや通知も整えたくなって、メールなら Mailchimp とか SendGrid とか、アプリのコミュニケーションなら Braze とか Iterable とか、いろいろ妄想が広がる。ここも結局「運用できるか」が全てなんだけど。
で、ここまで考えて「あ、これ一人じゃ無理だ」ってなって、チーム作業の道具に逃げたくなる。タスクは Jira で切って、ドキュメントは Confluence か Notion にまとめて、連絡は Slack で流して、画面設計は Figma で擦り合わせて、コードは GitHub か GitLab に置いて、CIは CircleCI とか、モバイル寄りなら Bitrise とか…って、どんどん道具が増えていく。こういうの、趣味でやるほど増えがちで、あとから請求書を見て震えるやつです。
技術の土台も、対策といえば対策で、コンテナで動かすなら Docker 、オーケストレーションなら Kubernetes 、配信は Nginx 、データベースは PostgreSQL 、キャッシュは Redis 、検索やログは Elasticsearch みたいな“ありがち構成”を連想しちゃう。分析基盤まで行くなら Snowflake とか、イベント収集の中継で Segment とか mParticle とかも候補に見えるけど、これも沼。スマホ新法対策のはずが、なぜか“自分の理想のSaaSスタック発表会”になっていくのが怖い。
結局、スマホ新法対策って「この法律の条文を暗記する」より、「環境変化で痛くなる場所を、運用で耐える」だと思いました。外部決済をやるなら、決済基盤(例:Stripe)を入れるだけで終わりじゃなくて、不正(例:Sift)と本人確認(例:EMV%203D%20Secure)とサポート(例:Zendesk)と計測(例:AppsFlyer)がセット。リンクアウト導線を増やすなら、計測の欠損を想定して Branch みたいなディープリンクや、分析で Amplitude を触りたくなる。ユーザーへの説明が増えるなら、同意管理で OneTrust みたいな道具が要る。仕様変更が増えるなら、切り替えを楽にする LaunchDarkly みたいな発想が効く。障害が増えるなら、観測で Datadog に頼りたくなる。全部つながってて、どれか一つだけやっても片手落ち、というのが、自分がメモを書き散らして気づいたことでした。
最後に、これは完全に趣味目線の結論なんですが、「スマホ新法対策」として一番効くのは、“変更が来ても死なない体力”を作ることだと思います。具体的には、決済と導線を増やすなら「戻せる」「止められる」「説明できる」を最初から入れる。数字が揺れるなら、計測を一段強くして(例:Adjust)、「揺れる前提で意思決定する」癖をつける。同意やデータの話は後回しにしない(例:Cookiebot)。“道具を買って安心する”じゃなく、“道具を回して事故らない”までが対策。自分は毎回ここで転ぶので、今回は転ぶ前に、せめて道具だけでも揃えておこう…という気持ちで、この記事を書きました。
コメント